Одноразовые пароли на основе времени (TOTP) — это стандартный компьютерный алгоритм одноразовых паролей. Они расширяют одноразовый пароль на основе хэш-кода проверки подлинности сообщения (HMAC) (одноразовый пароль на основе HMAC или сокращенно HOTP).
TOTP можно использовать вместо или в качестве дополнительного фактора наряду с традиционными, более долговечными двухфакторными тестами. решения для аутентификации, такие как SMS-сообщения или физические аппаратные токены, которые можно украсть или забыть легко. Так что же такое одноразовые пароли на основе времени? Как они работают?
Что такое ТОТП?
TOTP — это временный одноразовый пароль, генерируемый алгоритмом в соответствии с текущим временем. для аутентификации пользователя. Это дополнительный уровень безопасности для ваших учетных записей, основанный на двухфакторная аутентификация
(2FA) или многофакторная аутентификация (МИД). Это означает, что после того, как вы ввели свое имя пользователя и пароль, вам необходимо ввести определенный код, который является временным и недолговечным.TOTP назван так потому, что использует стандартный алгоритм для выработки уникального числового одноразового кода доступа с использованием среднего времени по Гринвичу (GMT). То есть пароль генерируется из текущего времени в течение этого периода. Коды также генерируются из общего секрета или секретного начального кода доступа, предоставленного при регистрации пользователя на сервере аутентификации, либо с помощью QR-кодов, либо в виде открытого текста.
Этот пароль показывается пользователю, который должен использовать его в течение определенного времени, после чего срок его действия истекает. Пользователи вводят одноразовый пароль, свое имя пользователя и обычный пароль в форму входа в течение ограниченного времени. По истечении срока действия код больше недействителен и не может использоваться в форме входа.
TOTP включают в себя строку динамических числовых кодов, обычно от четырех до шести цифр, которые меняются каждые 30–60 секунд. Инженерная рабочая группа Интернета (IETF) опубликовала TOTP, описанную в RFC 6238, и использует стандартный алгоритм для получения одноразового пароля.
Члены Инициатива открытой аутентификации (OATH) — это мозг, стоящий за изобретением TOTP. Он продавался исключительно по патенту, и с тех пор различные поставщики аутентификации продавали его после стандартизации. В настоящее время широко используется облачное приложение провайдеры. Они удобны в использовании и доступны для использования в автономном режиме, что делает их идеальными для использования в самолетах или при отсутствии покрытия сети.
Как работает TOTP?
TOTP, как второй фактор авторизации в ваших приложениях, обеспечивают вашим учетным записям дополнительный уровень безопасности, поскольку вам необходимо предоставить одноразовые цифровые коды доступа перед входом в систему. В народе их называют «программными токенами», «программными токенами» и «аутентификацией на основе приложений». в приложениях аутентификации нравиться Гугл аутентификатор и Аути.
Это работает так: после того, как вы ввели имя пользователя и пароль своей учетной записи, вам будет предложено добавить действительный код TOTP в другой интерфейс входа в качестве доказательства того, что вы являетесь владельцем учетной записи.
В некоторых моделях TOTP поступает на ваш смартфон через текстовое SMS-сообщение. Вы также можете получить коды из приложения-аутентификатора для смартфона, отсканировав QR-изображение. Этот метод является наиболее широко используемым, и срок действия кодов обычно истекает примерно через 30 или 60 секунд. Однако некоторые TOTP могут длиться 120 или 240 секунд.
Пароль создается на вашей стороне, а не на сервере с использованием приложения-аутентификатора. По этой причине у вас всегда есть доступ к вашему TOTP, поэтому серверу не нужно отправлять SMS каждый раз, когда вы входите в систему.
Есть и другие методы, с помощью которых вы можете получить свой TOTP:
- Аппаратные токены безопасности.
- Сообщения электронной почты с сервера.
- Голосовые сообщения с сервера.
Поскольку TOTP основан на времени и истекает в течение нескольких секунд, у хакеров недостаточно времени, чтобы предугадать ваши коды доступа. Таким образом, они обеспечивают дополнительную безопасность более слабой системе аутентификации по имени пользователя и паролю.
Например, вы хотите войти на свою рабочую станцию, использующую TOTP. Сначала вы вводите свое имя пользователя и пароль для учетной записи, и система запрашивает у вас TOTP. Затем вы можете прочитать его с вашего аппаратного токена или QR-изображения и ввести его в поле входа в TOTP. После того, как система подтвердит пароль, она войдет в вашу учетную запись.
Алгоритм TOTP, который генерирует пароль, требует ввода времени вашего устройства и вашего секретного начального числа или ключа. Вам не нужно подключение к Интернету для создания и проверки TOTP, поэтому приложения для аутентификации могут работать в автономном режиме. TOTP необходим для пользователей, которые хотят использовать свои учетные записи и нуждаются в аутентификации во время путешествий на самолетах или в удаленных районах, где подключение к сети недоступно.
Как проходит аутентификация TOTP?
Следующий процесс представляет собой простое и краткое руководство о том, как работает процесс аутентификации TOTP.
Когда пользователь хочет получить доступ к приложению, такому как облачное сетевое приложение, ему предлагается ввести TOTP после ввода имени пользователя и пароля. Они запрашивают включение двухфакторной аутентификации, а токен TOTP использует алгоритм TOTP для генерации OTP.
Пользователь вводит токен на странице запроса, и система безопасности настраивает свой TOTP, используя ту же комбинацию текущего времени и общего секрета или ключа. Система сравнивает два пароля; если они совпадают, пользователь аутентифицируется и ему предоставляется доступ. Важно отметить, что большинство TOTP аутентифицируются с помощью QR-кодов и изображений.
ТОТП против. Одноразовый пароль на основе HMAC
Одноразовый пароль на основе HMAC обеспечил основу, на которой был построен TOTP. И TOTP, и HOTP имеют сходство, поскольку обе системы используют секретный ключ в качестве одного из входных данных для генерации пароля. Однако в то время как TOTP использует текущее время в качестве другого входа, HOTP использует счетчик.
Кроме того, с точки зрения безопасности, TOTP более безопасен, чем HOTP, поскольку срок действия сгенерированных паролей истекает через 30–60 секунд, после чего генерируется новый. В HOTP пароль остается действительным до тех пор, пока вы его не используете. По этой причине многие хакеры могут получить доступ к HOTP и использовать их для проведения успешных кибератак. Несмотря на то, что HOTP по-прежнему используется некоторыми службами аутентификации, для большинства популярных приложений аутентификации требуется TOTP.
Каковы преимущества использования TOTP?
TOTP выгодны, потому что они обеспечивают вам дополнительный уровень безопасности. Сама по себе система имени пользователя и пароля слаба и часто подвергается Атаки «человек посередине». Однако с системами 2FA/MFA на основе TOTP у хакеров недостаточно времени для доступа к вашему TOTP. даже если они украли ваш традиционный пароль, поэтому у них мало возможностей взломать ваш Счета.
Аутентификация TOTP обеспечивает дополнительную безопасность
Киберпреступники могут легко получить доступ к вашему имени пользователя и паролю и взломать вашу учетную запись. Однако с системами 2FA/MFA на основе TOTP вы можете иметь более безопасную учетную запись, поскольку TOTP ограничены по времени и истекают в течение нескольких секунд. Внедрение TOTP явно того стоит.